LRM ACADEMY COMMUNITY & KULTUR PRAKTISCH & TAKTISCH JAGD SPORT EXPERTEN CORNER PARTNER
IWA Outdoor Classics Beretta GECO Ammunition RWS Steiner
de
Englisch
Community & Kultur

Social Engineering in der Schützenwelt: Wo die Risiken lauern und was man dagegen tun kann

Social Engineering ist mehr als Phishing, Ransomware und CEO-Fraud - und deshalb auch in der Schützenwelt ein enormes Risiko.

Stephan Humer02.04.2025

Social Engineeering - wovon sprechen wir überhaupt?

Social Engineering, die Kunst der menschlichen Manipulation, ist so alt wie die Menschheit. Im digitalen Kontext erlangte ein Begriff besondere Berühmtheit und so ziemlich jede E-Mail-Nutzerin und jeder E-Mail-Nutzer sollte mit diesem Phänomen schon einmal in Kontakt gekommen sein: Phishing. Nun ist Social Engineering aber weit mehr als Phishing und kann zudem überall lauern, nicht nur in einer Firma oder auf dem Privatrechner, sondern auch und gerade in der Schützenwelt. Denn in diesem Milieu gibt es viel zu holen, viel zu zerstören und viel zu beeinflussen.

Social Engineering – ein Sicherheitsklassiker

Seit ich 2013 das wahrscheinlich erste, dauerhafte Hochschulseminar zum Thema „Social Engineering“ an einer deutschen Hochschule (TH Brandenburg) etablieren konnte, hat sich viel getan. Inzwischen spreche ich schon seit einiger Zeit im wissenschaftlichen Kontext von Social Engineering 2.0, was in den aktuellen Entwicklungen in den Bereichen der Künstlichen Intelligenz, des Krieges in der Ukraine und der allgemeinen Weltkrisen (Polarisierung, Fake News, etc.) begründet liegt. Diese Weiterentwicklung eines ohnehin schon gefährlichen Sicherheitsrisikos stellt auch ein erhebliches Risiko für Sportschützen und Jäger da, schließlich gibt es in diesem Kontext einige Besonderheiten, die einerseits reizvoll für die Angreifer, andererseits aber auch außerordentlich schützenswert für die Angegriffenen sind. 

Welche Angriffsmethoden sind verbreitet?

In der Literatur findet man oftmals sogenannte Heuristiken, die die methodische Grundlage und das Einfallstor eines jeden Social-Engineering-Angriffs darstellen. Diese Alltagsheuristiken sind als „Daumenregeln“ absolut notwendig, um unser Leben zu vereinfachen. Ein Beispiel: Der Polizist trägt eine Uniform, damit man ihn als Polizeibeamten erkennt - eine sinnvolle Idee in einer modernen Gesellschaft. Die „Guten“ wie auch die „Bösen“ erkennen sofort den jeweiligen Akteur und handeln entsprechend. (Nicht ohne Grund ziehen Polizistinnen und Polizisten deshalb für Undercover-Aktionen ihre Uniform aus und „normale“ Klamotten an – um genau diesen Wiedererkennungseffekt auszuhebeln.) Die Daumenregel würde hier lauten: Uniform = Polizist = (in bestimmten Dingen) Autoritätsperson. Wir vertrauen der Uniform, dass sie legitim ist und folgen damit im Falle eines Falles der Autorität des Polizisten, bspw. bei Verkehrslenkung oder -kontrolle. Man kann sich den Dienstausweis zeigen lassen, klar, aber wer kann hier schon einen echten von einem falschen Ausweis unterscheiden? In der Regel wird man sich sagen, dass das alles schon seine Richtigkeit hat, der Polizeibeamte tatsächlich einer ist und das wars. Die Uniform sorgt für Autorität und der wird gefolgt.

shutterstock_2181366871.jpg
Nicht immer so leicht zu erkennen wie hier: Ein falscher Polizist (Credits: Shutterstock)

 

Es muss aber nicht gleich der in Grundrechte eingreifende Polizeibeamte sein, auch eine Nummer kleiner funktioniert dieser Fall: Paketdienst-Poloshirts kann man online erwerben. Dazu noch ein „frankiertes“ Paket, ein gemieteter Sprinter und schon sieht man aus wie ein Paketlieferant. Wird jemand argwöhnisch? In der Hektik des Alltags wohl eher nicht. Zugang zu Gebäuden wie Büros oder Wohnungen? Mit einem Fake-Paket in der Hand allzu oft gar kein Problem. Und es geht nochmal eine Stufe einfacher: Pizza, Burger und Co. „liefern“. In Großstädten wie Berlin dürfte schon eine Tüte eines dort ansässigen Lieferdienstes ausreichen, dazu ein gefakter Kassenzettel und schon sieht man aus wie ein Lieferdienstmitarbeiter. Persönliche Übergabe? Mit einem einigermaßen resoluten Auftreten und etwas Zeitdruck, den man höflich, aber bestimmt ins Spiel bringt („Die Pizza wird kalt!“, „Das Paket muss persönlich entgegengenommen werden!“), kommt man sicherlich nicht selten ans gewünschte Ziel. Nicht ohne Grund sind die Nachrichten voller Meldungen über Menschen, die nur eine bestimmte Rolle oder Funktion vorgaukeln, beispielsweise die medial allseits bekannten Fake-Polizisten, die ältere Herrschaften um ihren Schmuck oder ihre Bargeldreserven bringen wollen. Und damit sind wir auch schon bei unserem Thema.

shutterstock_2253129793.jpg
Ein netter Lieferant oder ein netter Social Engineer? (Credits: Shutterstock)

 

Fake-Polizisten als Waffenkontrolleure

Im Oktober 2024 warnte die Kreisverwaltung im Jerichower Land (Sachsen-Anhalt) vor Fake-Waffenkontrolleuren. (Der MDR berichtete.) Auf deren Auto stand „Ordnungsamt“ (Social-Engineering-Aspekt hier: Magnetschild kann online erworben werden und somit schnell, günstig und äußerst flexibel Autorität vorgaukeln) und die Ausweise waren gefälscht (Ausweisdrucker kann man frei erwerben – erneut ist hier Autorität das Mittel). Was war das Ziel dieser Aktion? Möglicherweise ein schlichtes Auskundschaften für den nächsten Bruch, möglicherweise ein direkter Raub der Waffen vor Ort. Und wie kamen die Täter auf die Waffenbesitzer? Nun, nicht selten sind persönliche Daten oder Vereinsinfos (Funktionen, Tätigkeiten, etc.) öffentlich einsehbar, so dass die Täter leichtes Spiel haben. Man zählt eins und eins zusammen und schon steht man vor der Tür des arglosen Waffenbesitzers. Und mal ganz ehrlich: Wer wird bei zwei resolut auftretenden Ordnungsamtsmenschen mit einigen Detailkenntnissen (genaue Bezeichnung der besessenen Waffen, Wissen über die eigene jagdliche oder sportliche Tätigkeit usw.) schon skeptisch und holt zur Kontrolle der Herrschaften bspw. eine Polizeistreife hinzu? Hier kommt den Bösewichten zugute, dass insbesondere Waffenbesitzer rechtliche Fehler um jeden Preis vermeiden wollen – und wie sähe es schließlich für die eigene Waffenbehördenakte aus, wenn man den Herrschaften vor der Tür laut und deutlich misstrauen und die Polizei rufen würde?

Waffenbesitzer und -institutionen haben für Social Engineers viel zu bieten

Wenn man zum Waffenhändler seines Vertrauens geht, fällt meist auf: Hier versteckt sich niemand. Im Gegenteil: Da steht gerne mal „Waffen Müller“ in großen Lettern an der Hausfassade, für jedermann sehr gut erkennbar. Deshalb sind solche Geschäfte, so wie Juweliere, Banken, etc., meist gut gesichert. Mit diesen Standards kann allerdings nicht jede Wohnung eines jeden Waffenbesitzers mithalten. Fröhliche Siegerfotos vom letzten Vereinspokal auf Facebook? Einblicke in die Großwildjagd auf Instagram? Erneut ein Startpunkt für den zielstrebigen Social Engineer, insbesondere für einen Angreifer, der eine Low-Budget-Flinte von einem Blaser-Bockdrilling unterscheiden kann. Und dann dauert es oftmals nicht lang und man hat die notwendigen Daten des Besitzers – und steht vor oder, noch schlimmer, hinter seiner Wohnungstür. Für einen Auftragsdiebstahl oder -raub ist Social Media eine Goldgrube. 

shutterstock_2255163695.jpg
Händler können sich extreme Sicherheitsmaßnahmen leisten - Vereine auch? (Credits: Shutterstock)

 

Und das gilt auch für zahlreiche andere digitale Dienste: Viele Schützen- und Jagdvereine nutzen Möglichkeiten wie E-Mail-Verteiler, Messenger-Gruppen oder Aushänge, um Neuigkeiten zu verbreiten, Mitglieder schnell zu erreichen oder Vereinsgeschäfte abzuwickeln. Diese Kanäle sind jedoch insbesondere im privaten bzw. ehrenamtlichen Umfeld oft wenig abgesichert und können somit leicht von Social Engineers angegriffen werden (z. B. über gefälschte E-Mails oder Nachrichten im Namen des Vorstands). Verbände und Vereine verwalten meist umfassende und in diesem Kontext besonders sensible Personendaten (Name, Anschrift, Waffenbesitzkarten, Vereinszugehörigkeit). Ein unberechtigter Zugriff (durch Phishing, Trojaner etc.) auf diese Daten gibt Angreifern wertvolle Einblicke in personenbezogene Informationen und potenzielle Sicherheitslücken (z. B. die bereits erwähnte Lagerung von hochpreisigen Waffen). 

Hier hätten wir im Übrigen auch einen der vielen Nachteile einer zentralen Waffenlagerung: Bekommt ein Social Engineer Zugang zur Wohnung eines Sportschützen, geht es vielleicht um ein bis fünf Knarren, ein wenig Munition, etwas Zubehör wie Spektive oder Jagdbekleidung. Bekommt er jedoch die notwendigen Informationen über einen Verein samt Zentrallagerung hunderter Waffen auf dem Schießstand tief im Wald und wann genau dort jemand/niemand ist, so sprechen wir von einer ganz anderen Dimension. Dezentralität beim Waffenbesitz ist gelebte Sicherheit.

Was kann – und sollte - man tun?

Neben der persönlichen Awareness, die jeder Mensch im digitalen Zeitalter an den Tag legen sollte, ist das Thema digitale Sicherheit meines Erachtens ein dringendes Pflichtthema für Schützenvereine und Jagdverbände, aber auch für Händler und Hersteller. Wer hier spart und Sicherheit auf das gesetzlich vorgeschriebene Minimum beschränkt, der spart dramatisch am falschen Ende. Und da wir über Schusswaffen sprechen, muss jedem ohne große Erklärung klar sein: Hier geht’s um was! Vereinsverantwortliche verwalten Daten, die anders zu betrachten sind als die Mitgliederdatenbank des Dackelzüchtervereins. (Nichts gegen Dackel, aber der entsprechende Unterschied ist, so denke ich, doch recht eindeutig.) Deshalb vier Punkte für den Weg zu mehr Sicherheit und Schutz gegen Social Engineering:

Erster Punkt: IT-Sicherheit durch Expertinnen und Experten

Hat jemand im Verein Ahnung von digitaler Sicherheit? Dann soll er alle anderen Mitglieder schulen, aufklären, updaten! Hinzu kommen klare (Notfall-)Richtlinien und Anweisungen für den Umgang mit Daten, im „klassischen“ Bereich wie Mitgliederverwaltung und Schießstandöffnungszeiten, aber auch und gerade im „kreativen“ Bereich: Was postet der Verein auf Social Media? In welcher Detailtiefe? Wie lange? (Man kann Bilder durchaus auch mal wieder löschen, nicht alles wird online ewig gespeichert.) Hier sollte man kreativ sein und auch mal um die Ecke denken, breit diskutieren, Erfahrungen und Ideen sammeln.

Zweiter Punkt: IT-Sicherheit durch das Mitgliederkollektiv 

Fiel jemandem etwas in einem Chat auf? Kam eine seltsame Mail? Dann umgehend die anderen Mitglieder informieren! Lieber einmal zu viel als einmal zu wenig, denn einen dummen Spruch für eine vermeintlich dumme Frage zu ernten ist immer noch besser als die Vereinskasse ins Ausland zu überweisen oder die notwendigen Infos für den Einbruch ins Vereinsheim beizusteuern. (Und nach dem dummen Spruch kann man dann auch gleich mal über die ausbaufähige Debattenkultur im Verein diskutieren, siehe dazu den vierten Punkt.)

Dritter Punkt: IT-Sicherheit durch Technik

Klar, ein kleiner Sportverein ist nicht vergleichbar mit einem Rüstungskonzern, nicht einmal mit dem bereits erwähnten, äußerst solide gesicherten Waffenhändler in der Innenstadt. Aber das, was man machen kann – Updates, sichere Passwörter, Netzwerkschutz, Rechner sperren beim Verlassen des Arbeitsplatzes usw. -, das sollte man auch machen. Außerdem gibt es inzwischen für fast alles im digitalen Bereich Dienstleister. Ist der Verein finanziell gut aufgestellt, aber es mangelt den Verantwortlichen an Kenntnis und Erfahrung, dann kann man entsprechende Services buchen. Und wenn man doch mal einen Anwalt benötigt: Er oder sie sollte sich tatsächlich mit IT auskennen.

Vierter Punkt: IT-Sicherheit durch eine passende Vereins-/Firmenkultur

Wer (in einem Verein in der Regel als Ehrenamtler) sein Bestes gegeben hat, sollte trotz eines Sicherheitsvorfalls nicht (vereins)öffentlich fertiggemacht werden. Fehler aufarbeiten: ja. Persönliche Angriffe, Vorwürfe, Schulddebatten: nein. Fehler sind menschlich und Social Engineering kennt keinen hundertprozentigen Schutz, man kann lediglich die Hürde erhöhen. Deshalb ist eine vernünftige Fehlerkultur, eine offene, ehrliche, aber nicht verletzende Debattenkultur unabdingbar - gerade in Vereinen, die auf Freiwilligkeit setzen, denn durch Gemecker kann man auch noch die letzten Idealisten, die sich engagieren, erfolgreich vergraulen. Und Transparenz hilft auch nach außen: Das Gespräch mit anderen Firmen/Vereinen/Betroffenen suchen, offen und ehrlich über Angriffe und die daraus gezogenen Schlüsse debattieren, Wissen teilen und gemeinsam stärker werden.

„There’s no glory in prevention”? Egal, Sicherheit muss sein!

Offen und freundlich bleiben, wenn es möglich ist und misstrauisch und diszipliniert, wenn es nötig ist – das wäre die perfekte Abwehrstrategie gegen Social Engineering. Als Wissenschaftler würde ich mir natürlich den dafür äußerst hilfreichen „magischen Hebel“ wünschen, der immer im richtigen Moment von jedermann umgelegt werden kann. Wie schön wäre es, wenn man den freundlichen Menschen immer und absolut treffsicher vom Freundlichkeit heuchelnden Angreifer unterscheiden könnte. Das jedoch, soviel steht fest, kann man komplett vergessen. Es ist alles, wie bereits erwähnt, nur eine Frage der Hürde. Wer sich wirklich Mühe gibt, entsprechende Ressourcen einsetzt, superprofessionell vorgeht, extrem erfahren ist und dazu noch gut manipulieren kann, der wird nur schwer zu stoppen sein. 

shutterstock_2510417687.jpg
Zu uninteressant für eine Ransomware-Attacke? Kaum vorstellbar! (Credits: Shutterstock)

 

Unser aller Vorteil: Solche Angriffe sind vergleichsweise selten. Die Masse der Fälle dürfte aus Angriffen einfacher und mittlerer Qualität bestehen, womit wir im Übrigen auch wieder beim Phishing wären. Aber, und das ist wiederum unser aller Nachteil: Diese Angriffe kommen vor, und zwar massenhaft. Der Sportverein XYZ mag nicht das interessanteste Ransomware-Opfer der Welt sein, aber welcher Angreifer sagt zu einer „low hanging fruit“ schon Nein und verzichtet auf einen Bitcoin Erpressungsgeld? „So etwas ist bei uns noch nie vorgekommen“, „Wir sind viel zu uninteressant/klein/unwichtig“ oder „Warum sollte das ausgerechnet jetzt passieren?“ – beschwichtigende Floskeln sind keine Argumente. Zumal die besten Social-Engineering-Attacken stets die sind, die das Opfer gar nicht bemerkt. Die Social-Engineering-Welt ist groß und bunt und manchmal verdächtig unverdächtig.

Gefährdet sind letztlich nicht nur Sportschützen und Jäger, sondern eben auch Händler und Hersteller. Wer sich mit Social Engineering beschäftigt, sollte bei seinen Überlegungen zu Angriffen und deren Abwehr stets eine Kombination aus Methodik und Branchenspezifik anstreben: Was gibt es für theoretische und methodische Grundlagen im Bereich Social Engineering (Stichwort: Heuristiken) und was zeichnet die Branche/das Umfeld, in dem man sich bewegt, aus? So kommt man am Ende zu einem zielführenden gesteigerten Bewusstsein für die entsprechenden Risiken und kann entsprechende Schutzmaßnahmen einrichten. Sicherheit sollte für jeden verantwortungsbewussten Waffenbesitzer, -händler und -hersteller weder an der Tresortür noch bei der Antivirensoftware enden. 

Stephan Humer
Autor, Germany

Wenn Stephan nicht schießt, dann schreibt er darüber. Und zwar nicht nur als Kolumnist, sondern auch als Wissenschaftler: Hochschulische und behördliche Sicherheitsforschung ist sein Job. Somit kümmert er sich naheliegenderweise vor allem um Militär- und Polizeiwaffen, aber auch um Forschung und Entwicklung in diesen Bereichen sowie alles, was sonst an der Schnittstelle von Sicherheit und Gesellschaft so passiert. Apropos: Je größer das Kaliber, desto besser!

Datenschutzerklärung Impressum Werde Teil des Teams
Copyright © 2024 LOWREADY GROUP GmbH